Chinês (Simplificado) 
Chinês (Tradicional) 
Inglês 
Francês 
Alemão 
Italiano 
Japonês 
Norueguês 
Espanhol 
5 min de leitura
0 comentários
Malware que se propaga pelo WhatsApp Web usa tela falsa para capturar senhas bancárias e de corretoras. Programa afeta apenas máquinas brasileiras e já realizou milhares de disparos automáticos pela plataforma.
Um novo malware batizado de maverick está se propagando pelo WhatsApp Web e roubando credenciais de acesso de clientes de bancos e corretoras de criptomoedas no Brasil.
A praga usa uma tela falsa que imita páginas de instituições financeiras para capturar senhas e tokens, segundo análises técnicas de empresas de cibersegurança.
Especialistas apontam que a campanha é ativa, concentrada no país e com foco em usuários de computador, não de celular.
-
Candidatos estão usando esses comandos secretos no ChatGPT para arrumar emprego e dividindo recrutadores entre criatividade e manipulação
-
OpenAI aposta alto: empresa por trás do ChatGPT gasta bilhões em chips e desafia limites da tecnologia
-
Espírito Santo instala 300 câmeras em viaturas da PM para caçar carros roubados e criminosos em tempo real; nova fase terá reconhecimento facial em todo o Estado
-
Névoa tóxica 16 vezes acima do limite da ONU asfixia capital da Índia, e governo quer provocar chuva artificial para dispersar poluentes
O golpe começa com o recebimento de um arquivo compactado “.zip” enviado por um contato que já foi comprometido.
Dentro do pacote há um atalho “.lnk”; a execução desse atalho ativa o código malicioso.
A partir daí, o malware obtém controle do navegador, acessa a sessão do WhatsApp Web e reencaminha automaticamente o mesmo “.zip” para todos os contatos da vítima, ampliando a disseminação de forma exponencial.
Levantamentos independentes descrevem justamente esse vetor e a automação do envio pela própria conta da vítima.
Como o maverick engana o usuário
Segundo os pesquisadores, o maverick foi escrito com comentários em português do Brasil, utiliza URLs com nomes em português e inclui verificações para operar apenas em ambientes brasileiros, o que explica a ênfase em teclados com “ç” e padrões locais.
Além do idioma, a técnica central é a sobreposição de interface: quando a vítima acessa o site do banco, o malware congela a tela e exibe um aviso de “segurança” que solicita credenciais completas.
Em análise, o analista da Kaspersky Anderson Leite descreve esse comportamento como a chave para furtar dados sem precisar vasculhar todo o sistema do usuário.
“Quando a vítima entra no site do banco, o vírus congela a tela do computador e mostra uma mensagem de segurança falsa, como se fosse o banco pedindo as credenciais dela para validar alguma coisa”, afirmou.
Há, ainda, um componente que reforça o realismo do engano.
A mensagem padrão disseminada pelos criminosos tenta convencer o destinatário de que o conteúdo só pode ser visto no PC e que o Chrome pode sinalizar o download por ser um arquivo compactado, normalizando o risco para induzir o clique.
No momento em que o atalho é executado, o malware inicia rotinas de persistência, monitora reinícios da máquina e sequestra a sessão do WhatsApp Web para continuar o ciclo de disseminação.
Relatos técnicos detalham esse comportamento autopropagante e a criação de mecanismos para manter a infecção ativa.
Ferramentas usadas pelos atacantes
A tomada de controle da sessão depende do uso de Selenium, ferramenta de automação de navegadores.
Como as ações partem do próprio ambiente do usuário, o WhatsApp interpreta as requisições como legítimas.
Questionada, a Meta afirma que trabalha para ampliar camadas de proteção, com recursos que trazem mais contexto ao receber mensagens de desconhecidos e com criptografia de ponta a ponta nas conversas.
Em paralelo, laboratórios de segurança indicam atualização de assinaturas antivírus para bloquear o pacote “.zip” e interromper o vetor de infecção.
A Sophos confirma que começou a observar a campanha a partir de 29 de setembro, com foco no Brasil e envio em massa via WhatsApp Web.
Operação com sinais de profissionalização
Além da técnica, a infraestrutura de apoio indica organização.
Um relatório citado por fontes do setor menciona o uso de geradores automáticos de nomes para os arquivos maliciosos, um painel estatístico com métricas de entrega e de sucesso e controles de distribuição.
“Esses artefatos apontam para uma operação profissionalizada”, afirma Felipe Guimarães, diretor de segurança da informação da Solo Iron.
Embora dados completos sobre as instituições financeiras visadas não tenham sido divulgados, diferentes análises destacam que o alvo principal são clientes de bancos brasileiros e plataformas de criptoativos.
Em publicações técnicas, a Kaspersky descreve o maverick como um “banker” distribuído em massa via WhatsApp, com componentes modernos de evasão.
Relação com o “coyote”, trojan brasileiro de 2024
As amostras do maverick compartilham trechos de código com o coyote, trojan bancário de origem brasileira documentado pela Kaspersky em fevereiro de 2024.
Naquele caso, os criminosos exploravam uma cadeia de infecção com Squirrel e miravam mais de 60 instituições.
Pesquisadores avaliam que as semelhanças sugerem continuidade ou vínculos entre grupos, embora não haja confirmação oficial de autoria.
Em 2025, novas variantes do coyote mostraram evolução para driblar defesas, reforçando o reaproveitamento de técnicas por quadrilhas locais.
Posição do setor financeiro e do WhatsApp
A Febraban informa que os bancos mantêm estruturas robustas de monitoramento, com autenticação biométrica, tokenização e uso de big data e inteligência artificial em prevenção de fraudes.
Já a Meta afirma que segue investindo em mecanismos de segurança no WhatsApp, sem detalhar impactos específicos dessa campanha.
Em paralelo, equipes de resposta de empresas como Trend Micro e Sophos publicaram alertas técnicos, descrevendo o envio de arquivos ZIP com atalho “.lnk” como vetor de disseminação e o comportamento verme na plataforma.
O que fazer se você foi exposto ou suspeita de infecção
Profissionais consultados recomendam não abrir anexos recebidos pelo WhatsApp sem validação prévia, mesmo quando enviados por contatos conhecidos.
A medida mais eficaz é confirmar o envio por um segundo canal, reduzindo o risco de executar conteúdo fraudulento.
Em ambientes corporativos, restringir transferência de arquivos em aplicativos pessoais ajuda a diminuir a superfície de ataque.
Também é prudente desativar downloads automáticos no WhatsApp, manter o antivírus atualizado e monitorar extratos bancários após qualquer incidente.
Caso o arquivo tenha sido executado, a orientação é remover tudo que foi baixado, rodar uma varredura completa e considerar reinstalar o navegador ou restaurar o sistema para um ponto anterior.
Em seguida, troque as senhas bancárias e ative métodos adicionais de verificação, como token e biometria, informando o banco sobre qualquer movimentação suspeita.
Em relatórios recentes, laboratórios reforçam que campanhas autopropagantes no WhatsApp evoluem rapidamente, motivo pelo qual a resposta imediata é decisiva para conter danos.
Cuidado para não confundir campanhas diferentes
No mesmo período, outras famílias de malware também exploraram o WhatsApp como canal de distribuição, como SORVEPOTEL e operações correlatas.
Embora compartilhem o envio de ZIP com LNK e a propagação via contatos comprometidos, tratam-se de campanhas distintas e com táticas e objetivos que podem variar.
A distinção é relevante para que equipes técnicas apliquem IOCs corretos e não confundam assinaturas ou indicadores na hora de bloquear o ataque.
Com a propagação de um trojan que imita páginas bancárias e usa o próprio WhatsApp Web para se espalhar, que sinal de alerta você passou a considerar indispensável antes de abrir anexos recebidos de colegas, clientes ou familiares?
Seja o primeiro a reagir!